Do urzędu miejskiego dotarła informacja, że operator pocztowy zagubił wysłany przez nas pojedynczy list rejestrowany, w którym było upomnienie z tytułu niezapłaconej raty podatku. Korespondencja zawierała imię i nazwisko dłużnika, jego numer PESEL, adres zamieszkania, wysokość zaległości oraz indywidualny rachunek bankowy do wpłaty. Wydaje się to mało prawdopodobne, by sytuacja skutkowała ryzykiem naruszenia praw osoby fizycznej, ale z drugiej strony nie można tego wykluczyć. Czy więc powinniśmy zgłosić zgubienie takiego pojedynczego listu do prezesa Urzędu Ochrony Danych Osobowych jako incydent naruszenia RODO?
Wydaje się to mało prawdopodobne, by sytuacja skutkowała ryzykiem naruszenia praw osoby fizycznej, ale z drugiej strony nie można tego wykluczyć. Czy więc powinniśmy zgłosić zgubienie takiego pojedynczego listu do prezesa Urzędu Ochrony Danych Osobowych jako incydent naruszenia RODO?
Tak, incydent trzeba zgłosić, bo zawarte w korespondencji informacje stanowią dane, które umożliwiają jednoznaczną identyfikację osoby fizycznej. I choć wydawałoby się, że powierzenie przesyłek wykwalifikowanemu podmiotowi, takiemu jak np. Poczta Polska, może zwalniać od odpowiedzialności za naruszenie ochrony
danych osobowych, to jednak sprawa jest nieco bardziej złożona.
Operator nie za wszystko odpowiedzialny
Obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej wynika z art. 41 ust. 6
prawa pocztowego. Zdaniem ekspertów nadawca przesyłki pozostaje jednak odpowiedzialny za dane osobowe zawarte w przesyłce, zaś Poczta Polska odpowiada za dane znajdujące się na kopercie czy paczce.
Jak tłumaczy nam Grzegorz Gryciuk, radca prawny w kancelarii Dr Krystian Ziemski & Partners, przekazanie danych osobowych w korespondencji następuje poprzez ich udostępnienie (jako operacji przetwarzania danych osobowych w rozumieniu art. 4 pkt 2 RODO), a nie powierzenie ich przetwarzania (w rozumieniu art. 28 RODO). – Administrator, który dokonał takiego udostępnienia danych osobowych, dokonuje tego w ramach procesu przetwarzania danych osobowych, realizowanego przez niego w celu dochodzenia należności (list z upomnieniem), a wymienione zdarzenie ma miejsce w toku tego procesu – wyjaśnia mec. Grzegorz Gryciuk. – W tych okolicznościach mamy do czynienia nadal z dwoma administratorami, z których każdy odrębnie powinien się rozeznać w realizacji swoich obowiązków wynikających z
RODO – dodaje.
Zgłoszenie i terminy
Kiedy zgłosić naruszenie ochrony
danych osobowych do prezesa UODO? Wskazówkę można znaleźć na stronie internetowej Poczty Polskiej w „Informacji dla administratorów danych”. Wynika z niej, iż „terminy informowania prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz rozważenia zawiadomienia osoby, której dane dotyczą o naruszeniu, biegną od dnia otrzymania decyzji uznającej reklamację w związku z utratą przesyłki, ubytkiem zawartości oraz uszkodzeniem, którego skutkiem może być dostęp do zawartości przez osoby nieuprawnione, chyba że Spółka wcześniej przekaże informację dotyczącą ww. zdarzeń”.
Wspomnianych terminów należy szukać w art. 33 ust. 1 RODO. Zgodnie z nim administrator robi to bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Naruszenie to zgłasza organowi nadzorczemu, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem związanym z zakłóceniem praw lub wolności osób fizycznych.
Jeżeli naruszenie ochrony danych osobowych niesie jednak takie ryzyko i jest ono duże, to – zgodnie z art. 34 ust. 1 RODO – administrator bez zbędnej zwłoki musi o incydencie także zawiadomić osobę, której dane dotyczą.
Zawiadomienie nie jest wymagane tylko w następujących przypadkach (art. 34 ust. 3 RODO):
- administrator wdrożył odpowiednie środki techniczne i organizacyjne, które uniemożliwią odczyt danych przez osoby nieuprawnione (np. szyfrowanie);
- administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- wymagałoby ono niewspółmiernie dużego wysiłku (w takim przypadku wydany zostaje np. publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane o zdarzeniu w skuteczny sposób).
Właściwie rozeznanie
– Nie można wykluczyć, że zgubienie listu jest incydentem, który może stanowić naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem utracenia czy nawet nieuprawnionego dostępu do przetwarzanych danych osobowych – podkreśla mec. Grzegorz Gryciuk. Prawnik dodaje, że aby właściwie rozeznać się w swojej sytuacji, administrator powinien każdorazowo postępować zgodnie z procedurą postępowania na wypadek wystąpienia naruszenia ochrony danych, którą winien mieć wdrożoną na taką okoliczność. W ramach stosowania tej procedury administrator powinien dokonać w szczególności oceny wagi naruszenia dla ryzyka naruszenia praw lub wolności osób fizycznych i udokumentować ją w sporządzonym raporcie (wewnętrznej ewidencji naruszeń), a następnie – w zależności od jej wyniku – podjąć dalsze czynności w sprawie. Możliwe jest chociażby zastosowanie metody oceny wagi naruszenia opracowanej w oparciu o zalecenia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). To na te zalecenia powołuje się Grupa Roboczej Art. 29 w dokumencie: „Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679”.
I na koniec: czy za zgubienie jednego listu z danymi osobowymi może skutkować nałożeniem kary finansowej? Zdaniem ekspertów, choć to mało prawdopodobne, nie można tego wykluczyć. – Organ nadzorczy w takiej sytuacji zawsze może chcieć sprawdzić, czy nie zostały naruszone podstawowe zasady przetwarzania danych osobowych, w tym przepisu art. 5 ust. 1 lit. f RODO, z którym związane jest m.in. ryzyko nałożenia na administratora kary pieniężnej, zgodnie z art. 83 ust. 5 lit. a RODO – mówi mec. Grzegorz Gryciuk.
•art. 4 pkt 2, art. 28, art. 33 ust. 1, art. 34 ust. 1, art. 34 ust. 3, art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
•art. 41 ust. 6 ustawy z 23 listopada 2012 r. – Prawo pocztowe (t.j. Dz. U. z 2018 r. poz. 2188, ost.zm. Dz.U. z 2019 r. poz. 2005).